Google 애널리틱스에 가입

Qiita에서 Google 애널리틱스를 이용하는 단계을보고 Google 애널리틱스에 등록했습니다.

그러면 Google 자회사 직원이 비밀번호를 사용하는 데 동의했습니다 .

Google 애널리틱스 이용약관에 다음과 같이 쓰여 있다.



\3. 회원 계정, 암호 및 보안

기술적 문제 또는 수수료 문제가 발생한 경우 고객에게 지원을 제공하는 등 서비스를 보전하거나 개선하기 위해 Google(또는 그 전액 출자 자회사)의 지원 직원이 적절하게 고객의 비밀번호를 사용합니다. 이 서비스에 로그인 할 수 있습니다.

구글은 비밀번호를 평문으로 저장하고 막상 때 구글 자회사 직원이 사용할 수 있도록 준비하고 있는 것이다.

Google 애널리틱스 이용약관에 동의하면 Google 자회사 직원이 비밀번호를 사용하는 데 동의하게 됩니다.

Google에서 보안 문제를 발견했습니다.

설마 그런 일은 하지 않는다고 신뢰하고 있지만, 악의가 있는 Google 자회사의 스탭이 패스워드를 유출시키는 것에 아무런 톱니가 보이지 않는다.

우선 구글과 그 이외에 같은 비밀번호를 사용하지 않는 것이 무난하다.

검색결과

이것은 문제라고 생각해, 똑같이 문제로 생각하는 사람은 없는지 Google로 검색해 보았다.

CNET Japan의 기사구글, 'G Suite'의 일부 비밀번호를 암호화하지 않고 14년간 저장했다에 다음과 같이 써 있다.

Google은 미국 시간 5월 21일 블로그 기사에서 'G Suite'의 고객에게 일부 비밀번호를 암호화하지 않고 사내 서버에 저장했다고 통보했다. 이것은 즉, 이러한 패스워드를 발견한 사람은 누구나가 그 패스워드를 평문으로 읽을 수 있었다고 하는 것이다. Google Cloud Trust의 엔지니어링 담당 부사장인 Suzanne Frey는 게시물에서 이 버그는 기업 사용자에게만 영향을 미친다고 말했다.

부사장은 암호를 암호화하지 않고 사내 서버에 저장하고 있다고 버그라고 말했지만, 이것은 버그가 아니다.
Google의 이용규약에 평문으로 저장하고 있는 것이 쓰여 있기 때문이다.

Google 애널리틱스 이용약관 아래에 GDPR이 작성되었지만 GDPR은 EU 국가에서 강화된 개인정보 보호가 아닌가?
당연히 비밀번호도 개인정보이며 평문으로 저장하는 것을 그만둬야 할까

표준 보안 관행에서는 암호를 암호화하여 사내 서버에 저장하기 때문에 직원은 이러한 로그인 자격 증명을 볼 수 없으며 악용도 불가능합니다.

이런 보안 관행이 표준이라고 생각한다.